官方文檔鏈接:https://docs.microsoft.com/zh-cn/windows/security/identity-protection/access-control/access-control
windows通過身份驗證和授權的相關機制來控制系統和網絡資源的使用。 驗證用戶身份后,Windows 操作系統使用內置授權和訪問控制技術來實現保護資源的第二階段:確定經過身份驗證的用戶是否具有訪問資源的正確權限。
在訪問控制模型中,用戶和組(也稱為安全主體)由唯一的安全標識符(Sid)表示。
本地用戶賬戶
本地用戶帳戶存儲在服務器本地。 這些帳戶可以分配給特定服務器上的權利和權限,但只能在該服務器上分配。 本地用戶帳戶是用於保護和管理對獨立服務器或成員服務器上的資源的訪問權限的安全主體,用於服務或用戶。
默認的本地用戶賬戶:
- 管理員賬戶。默認的本地管理員帳戶是系統管理員的用戶帳戶。 管理員帳戶是在 Windows 安裝期間創建的第一個帳戶。管理員帳戶擁有本地計算機上的文件、目錄、服務和其他資源的完全控制權限。
- 來賓賬戶。默認情況下,來賓帳戶在安裝時處於禁用狀態。 來賓帳戶允許偶爾或一次性用戶(這些用戶在計算機上沒有帳戶)使用受限的用戶權限暫時登錄到本地服務器或客戶端計算機。 默認情況下,來賓帳戶具有空白密碼。 由於來賓帳戶可以提供匿名訪問,因此存在安全風險。 出於此原因,將來賓帳戶保留為禁用狀態是最佳做法,除非完全需要使用它。
服務賬戶
服務帳戶是顯式創建的用戶帳戶,用於為在 Windows Server 操作系統上運行的服務提供安全上下文。
- 獨立托管服務賬戶。托管服務帳戶旨在隔離關鍵應用(如 Internet 信息服務(IIS))中的域帳戶,並消除管理員手動管理服務主體名稱(SPN)和憑據的需要。帳目.若要使用托管服務帳戶,安裝了應用程序或服務的服務器必須至少運行 Windows Server2008R2。 一個托管服務帳戶可用於一台計算機上的服務。 托管服務帳戶不能在多台計算機之間共享,也不能用於在多個群集節點上復制服務的服務器群集中。
- 組托管服務賬戶。組托管服務帳戶是 Windows Server2008R2 中引入的獨立托管服務帳戶的擴展。 這些是托管域帳戶,可提供自動密碼管理和簡化的服務主體名稱(SPN)管理,包括向其他管理員委派管理。組托管服務帳戶提供與域中的獨立托管服務帳戶相同的功能,但它將該功能擴展到多台服務器。 當連接到服務器場中托管的服務(如網絡負載平衡)時,支持相互身份驗證的身份驗證協議要求所有服務實例使用同一主體。 當組托管服務帳戶用作服務主體時,Windows Server 操作系統管理帳戶的密碼,而不是依賴於管理員管理密碼。
- 虛擬賬戶。虛擬帳戶是在 Windows Server2008R2 和 Windows7 中引入的,並且是托管的本地帳戶,可提供以下功能來簡化服務管理:虛擬帳戶是自動管理的。虛擬帳戶可以在域環境中訪問網絡。無需密碼管理。 例如,如果在 Windows Server2008R2 上的 SQL Server 設置期間將默認值用於服務帳戶,則使用實例名稱作為服務名稱的虛擬帳戶將在格式 NT SERVICE\<SERVICENAME>中建立。以虛擬帳戶身份運行的服務使用 domain \ <_name>\<計算機 \ _name>$ 格式的計算機帳戶憑據訪問網絡資源。